Mecanismos de Segurança e sua
integração com o Kerberos
Jorge Granjal, Edmundo Monteiro
{jgranjal,edmundo}@dei.uc.pt
Serviços de Informática e Comunicações
Departamento de Engenharia Informática
Universidade de Coimbra, Portugal
Sumário
•
•
•
•
•
•
Necessidades e mecanismos de Segurança.
Firewall na Rede do DEI.
Kerberos na Rede do DEI.
Novo módulo de autenticação.
Implementação.
Conclusões e futuro.
Necessidades e mecanismos de
Segurança
• Necessidades de Segurança.
• Alguns mecanismos de Segurança:
–
–
–
–
–
Encriptação.
Garantia de integridade.
Auditorias periódicas.
Controlo de acessos.
Protecção contra ataques externos.
Necessidades de Segurança
Espionagem industrial
Ataques externos
Ataques internos
Erros ou acidentes
Virus
0
20
40
60
Ernest & Young 1996 Information Security Survey
80
100
Dilemas da Segurança
•
•
•
•
•
Difícil de implementar.
Conectividade exterior aumenta riscos.
Reais necessidades da Organização.
Definir política de Segurança.
Compromisso entre a facilidade de acesso e
a segurança.
Alguns mecanismos de Segurança
• Encriptação:
– PGP.
• Verificações da integridade de ficheiros:
– Tripwire.
• Auditorias Periódicas:
– Cops, Satan e Crack.
• Acessos Seguros a Servidores:
– SSH, Kerberos.
• Filtragem de Acessos:
– TCP-Wrappers, SOCKS.
Firewall na Rede do DEI
• Configuração em Screened Subnet.
• Proxies de nível de aplicação:
• TIS FW-TK (www.tis.com) originalmente com:
– Registo de todos os acessos.
– Autenticações SecurID, SNK, S/Key ou Reusable
Passwords (difíceis de gerir para muitos
utilizadores).
• Load-balancing por DNS.
• Recepção de e-mail em modo seguro (SMAP).
• Serviços públicos na zona exposta:
• {www,ftp,news,proxy,…}.dei.uc.pt.
• Squid em modo “inverso”.
Firewall do DEI - Configuração
ZONA
"DESMILITARIZADA"
Dial-UPs
FW
FTP
PROXY s
NEW S
WWW
...
INTERNET
ZONA EXTERIOR
REDE
INTERNA
O Kerberos na Rede do DEI
• Autenticação e controlo de acessos.
• Dois realms:
• STUDENT.DEI.UC.PT e DEI.UC.PT
• Autorizações de acesso inter-realm.
• Migração de Serviços para o Kerberos
(telnet, rsh, rlogin, rcp, ssh, scp, ftp, pop,
imap, xdm, tacacs+).
Funcionamento básico
• 1 - Pedido de ticket
para Serviço.
• 2 - Resposta com chave
de sessão.
• 3 - Envio de
autenticador e ticket.
• 4 - Confirmação.
• 5 - Comunicações
encriptadas com chave
de sessão.
SERVIDOR
KERBEROS
2
1
UTILIZADOR
3
4
SERVIÇO
Novo módulo de autenticações para
a Firewall do DEI
• Problema: Integração das bases de autenticação
Kerberos nos Proxies de Aplicação do FW-TK:
– Gestão de autenticações facilitada.
– Comunicações via Proxies TN-GW, RLOGIN-GW
e FTP-GW encriptadas.
• Solução: Desenvolvimento de um novo módulo de
autenticações Kerberos, adaptação do Authsrv e dos
Proxies TN-GW, RLOGIN-GW e FTP-GW.
Implementação
TIS FW-TK
MÓD U LOS ALTER AD OS
PROXIES DE
APLICAÇÃO
N OVOS MÓD U LOS
AUTHSRV
ADMIN
SecurID
SNK
AUTHSRV
S/Key
Reusable
Passw ords
Kerberos
Autenticações
Kerberos no Authsrv
TN-GW,
RLOGIN-GW e
FTP-GW
AUTHD
DAEMON
Cliente já com ticket
Cliente sem ticket
Pede
Confirmação de
ticket
Pede ticket ao
Servidor Kerberos
Recebe ticket e
chave de sessão
Envia autenticador
e ticket
Recebe confirmação
de autenticação
Pede confirmação
de password
Confirmação / Negação
Confirmação / Negação de
autenticação
Adaptação do Authsrv e Proxies
• Definição de utilizadores com autenticações
Kerberos no Authsrv.
• Ligações com ticket atribuído autenticadas
automaticamente.
• Ligações inter-realms e entre LANs.
• Acessos externos: Máquinas com suporte
Kerberos ou SSH via Plug-GW.
Ligações inter-realms e entre LANs
LAN 1
Realm
LAN 1
LAN 2
4
C/ TICKET
1
S/ TICKET
3
FW
TIS FW-TK
1 - Ligação ao Proxy local
2 - Ligação ao Proxy re m oto
3 - Ligação ao Sis te m a Re m oto
4 - Com unicaçõe s e ncriptadas
FW
2
TIS FW-TK
Conclusões e Futuro
• A Integração de tecnologias de Segurança
oferece vantagens:
– Funcionais.
– Administrativas.
• Exemplo apresentado: Integração do TIS
FW-TK com o Kerberos.
• Extender realms a máquinas Windows.
• Construção de ferramentas de gestão para
Proxies da Firewall e bases de autenticação.